RGPD et données à caractère personnel

C’est quoi le Règlement général sur la protection des données à caractère personnel ?

Le Règlement général sur la protection des données à caractère personnel, plus communément appelé « RGPD », est une réglementation européenne venant encadrer les traitements réalisés avec des données à caractère personnel des individus. Désormais, les projets impliquant un traitement de données à caractère personnel menés par les étudiants se voient appliquer le RGPD.

Notions fondamentales

Donnée à caractère personnel : toute information relative à une personne physique permettant de l’identifier directement ou indirectement (via un croisement de données qui permettrait de remonter jusqu’à la personne).
Exemple de données à caractère personnel : nom(s), prénom(s), numéro étudiant, numéro mangue…

Données sensibles : toute informations se rapportant à la santé, à l’orientation sexuelle, aux convictions religieuses ou philosophiques, à l’origine ethnique, à l’appartenance syndicaliste, aux opinions politiques, aux données génétiques ou biométriques d’une personne.

Traitement : opération ou ensemble d’opérations effectuée sur des données à caractère personnel. 
Exemple : accès, collecte, enregistrement, conservation, extraction, modification, transfert, diffusion, effacement, destruction…

Responsable de traitement : personne morale ou physique déterminant les finalités et les moyens du traitement de données à caractère personnel. L’université de Bordeaux sera qualifiée de responsable du traitement pour les traitements mis en œuvre par les étudiants dans le cadre de leurs études
Responsable de la mise en œuvre : les directeurs de recherche encadrant les travaux des étudiants 

Sous-traitant : personnel morale ou physique qui traite les données à caractère personnel pour le compte du traitement. 
Exemple : structure offrant une prestation de service telle que l’hébergement de nos données, prestation de logement pour nos étudiants…

Personnes concernées : personnes physiques dont les données à caractère personnel sont traitées par l’université. 
Exemple : les agents de l’UB sont les personnes concernées par nos traitements RH. 
Les étudiantes sont les personnes concernées du traitement portant sur les inscriptions administratives et pédagogiques.

Anonymisation : ensemble de techniques permettant d’éliminer toute possibilité de réidentification de la personne dont les données ont été traitées. 

Pseudonymisation : processus consistant à transformer des données à caractère personnel afin qu’elles ne puissent plus être attribuées à une personne spécifique sans l’utilisation d’informations supplémentaires. Exemple : remplacement du nom(s) et prénom(s) par un numéro séquentiel, un alias, numéro étudiant, numéro Mangue…

Quelle est la différence entre l’anonymisation et la pseudonymisation ? 

Ceux sont des mesures de sécurité différentes. Si vous appliquez la pseudonymisation, le RGPD s’appliquera car il y a toujours la possibilité de réidentifier les personnes dont les données ont été traitées. Il est possible de réidentifier la personne si un tableau recensant les identités des personnes avec leur numéro séquentiels est toujours en votre possession par exemple.
A contrario, dès lors que vous anonymisez vos données à caractère personnel, il n’y a aucune possibilité de réidentifier la personne dont les données ont été traitées. 

Pour la sécurité des données, ces mesures doivent être mises en place dès que la conservation des données nominatives n’est plus nécessaire dans la réalisation de vos missions quotidiennes.

Procédures et contacts

Pour tous les étudiants hors doctorants de 3e cycle :

Pour l’instruction RGPD de vos projets de mémoire, thèse d’exercice et autres travaux de recherche, merci de remplir le questionnaire de pré-instruction disponible en ligne.
Les étapes finalisant votre instruction RGPD vous seront indiquées à la fin de ce questionnaire : une foire aux questions est disponible pour vous aider à y répondre.

Pour les doctorants de 3e cycle :

Pour l’instruction RGPD des projets de thèse de 3e cycle, vous devez contacter la direction de la recherche et de la valorisation à l’adresse suivante : rgpd-recherche@u-bordeaux.fr